“Phishing”: una de cada tres webs fraudulentas desaparece en las primeras veinticuatro horas
Según un estudio de la firma de seguridad Kaspersky, la existencia de las webs falsas que se emplean en estafas de “phishing” es muy efímera y recomienda prudencia y esperar unas horas antes de hacer clic en un enlace que despierte sospechas.
La mitad de las webs falsas que los cibercriminales emplean en sus tácticas de “phishing” tienen un ciclo de vida que no llega a los cuatro días y un tercio de ellas no alcanza siquiera a completar las primeras 24 horas. Esta es la principal conclusión que arroja el informe “Ciclo de vida de las páginas de phishing” que la firma de seguridad Kaspersky, propietaria de la conocida solución antivirus, ha realizado sobre un total 5.307 webs fraudulentas.
El “phishing” es una táctica cibercriminal consistente en suplantar la identidad de una entidad de confianza y engañar a la víctima para que facilite sus credenciales de acceso u otra información sensible. Los bancos, por ejemplo, son usados muy habitualmente en las campañas de “phishing” por razones obvias. Los cibercriminales suelen iniciar el contacto a través de un correo electrónico impostado desde el que redirigen a la víctima hacia la web falsa. Otras variantes de “phishing” inician el contacto a través de un SMS (“smishing”) o llamada de teléfono (“vishing”).
Lo que el informe, elaborado por los investigadores de seguridad de Kaspersky Egor Bubnov y Mikhail Sytnik, revela es la rapidez con la que estas webs nace y mueren con el objetivo de escapar a los motores de detección “antiphishing” y evitar ser indexadas como lo que son.
De las 5.307 webs monitorizadas durante un mes por Kaspersky, un 33% (1.784) había desaparecido antes de finalizar el primer día tras su detección. A las 48 horas el porcentaje aumentó hasta un 42% (2.238), un 46% (2.481) a las 72 horas y el 50% (2.654) al completarse la cuarta jornada. Al finalizar el periodo de treinta días, sólo el 28% de las webs falsas permanecía accesible.
En la mayoría de los casos las webs fraudulentas no experimentan cambios antes de su eliminación, pero cuando lo hacen pueden ser de dos tipos. Los cibercriminales modifican la empresa cuya marca se utiliza como señuelo, lo que indica un cambio de objetivo, o realizan cambios en el código de la página con el propósito de impedir que sea bloqueada por los navegadores y buscadores tras ser detectada como una web fraudulenta. Según explican Bubnov y Sytnik, “cualquier pequeño cambio modifica el valor “hash” de toda la página, que los motores “antiphishing” utilizan para identificar páginas similares”.
Analizado el comportamiento de las webs de “phishing”, los autores del informe recomiendan ser prudentes, esperar en el caso de encontrarse con un enlace sospechoso y comprobar si sigue activo pasadas unas horas.